VPS: veliko httpd procesov (ram v višave)....
6 naročnikov
6 naročnikov
Httpd procesi so poleteli v višave in mi ni jasno zakaj. Uporabljam Directadmin nadzorno ploščo. Strani so bolj slabo obiskane tako da je v povprečju v uporabi par 100mb rama. Danes pa je že par ur ta v višavah (4GB+). Tudi če httpd service resetiram, se procesi hitro spet nabašejo...
httpd (pid 14288 14297 14299 14302 14303 14306 14307 14308 14312 14319 14321 14329 14333 14334 14342 14355 14356 14357 14358 14359 14367 14368 14387 14398 14402 14405 14419 14420 14422 14441 14442 14443 14450 14452 14457 14463 14467 14472 14482 14490 14491 14524 14536 14544 14548 14558 14566 14568 14578 14586 14601 14605 14610 14612 14614 14621 14622 14623 14639 14647 14669 14673 14677 14679 14683 14697 14698 14702 14709 14710 14711 14719 14720 14724 14734 14742 14750 14753 14754 14767 14768 14770 14771 14809 14828 14843 14845 14852 14853 14854 14865 14873 14874 14875 14876 14881 14884 14892 14893 14894 14897 14905 14932 14938 14961 14967 14970 14973 14976 15026 15027 15035 15036 15039 15061 15064 15095 15103 15104 15105 15109 15133 15135 15152 15156 15164 15187 15188 15190 15191 15204 15216 15217 15218 15220 15221 15222 15228 15230 15241 15265 15273 15279 15287 15295 15315 15317 15340 15344 15345 15358 15359 15362 15363 15364 15365 15371 15374 15375 15377 15389 15424 15432 15433 15434 15436 15444 15456 15459 15463 15470 15474 15477 15484 15496 15516 15520 15536 15540 15541 15553 15558 15565 15567 15598 15599 15603 15604 15607 15620 15621 15632 15633 15637 15654 15659 15664 15665 15667 15681 15693 15719 15720 15721 15723 15724 15726 15751 15752 15753 15755 15756 15757 15769 15770 15790 15791 15792 15796 15807 15818 15819 15822 15825 15834 15876 15880 15881 15886 15889 15892 15899 15955 15956 15957 15970 16046 16048 16083 16086 16087 16212 16215 16225 16226 16227 16235 16237 16238 16268 16282 16289 16290 16292 16294 16300 16301 16302 16341 16342 16346 16347 16370 16371 16374 16376 16384 16385 16386 16387 16388 16389 16395 16397 16398 16403 16415 16425 16441 16442 16443 16445 16446 16460 16465 16466 16467 )
Na administracijo strežnikov se ne spoznam prav dosti. Če preverim proces z
cd /proc/id_procesa
ls -la
Se pri večini izpiše spodnje...
dr-xr-xr-x 7 apache apache 0 2015-03-30 15:37 .
dr-xr-xr-x 341 root root 0 2015-03-26 15:40 ..
dr-xr-xr-x 2 apache apache 0 2015-03-30 15:41 attr
-r-------- 1 root root 0 2015-03-30 15:41 auxv
-r--r--r-- 1 root root 0 2015-03-30 15:41 cgroup
--w------- 1 root root 0 2015-03-30 15:41 clearrefs
-r--r--r-- 1 root root 0 2015-03-30 15:41 cmdline
-rw-r--r-- 1 root root 0 2015-03-30 15:41 coredumpfilter
-r--r--r-- 1 root root 0 2015-03-30 15:41 cpuset
lrwxrwxrwx 1 root root 0 2015-03-30 15:41 cwd -> /var/www/html/webmail
-r-------- 1 root root 0 2015-03-30 15:41 environ
lrwxrwxrwx 1 root root 0 2015-03-30 15:41 exe -> /usr/sbin/httpd
dr-x------ 2 root root 0 2015-03-30 15:41 fd
dr-x------ 2 root root 0 2015-03-30 15:41 fdinfo
-r--r--r-- 1 root root 0 2015-03-30 15:41 io
-r-------- 1 root root 0 2015-03-30 15:41 limits
-rw-r--r-- 1 root root 0 2015-03-30 15:41 loginuid
-r--r--r-- 1 root root 0 2015-03-30 15:41 maps
-rw------- 1 root root 0 2015-03-30 15:41 mem
-r--r--r-- 1 root root 0 2015-03-30 15:41 mountinfo
-r--r--r-- 1 root root 0 2015-03-30 15:41 mounts
-r-------- 1 root root 0 2015-03-30 15:41 mountstats
dr-xr-xr-x 5 apache apache 0 2015-03-30 15:41 net
-r--r--r-- 1 root root 0 2015-03-30 15:41 numamaps
-rw-r--r-- 1 root root 0 2015-03-30 15:41 oomadj
-r--r--r-- 1 root root 0 2015-03-30 15:41 oom_score
-r-------- 1 root root 0 2015-03-30 15:41 pagemap
lrwxrwxrwx 1 root root 0 2015-03-30 15:41 root -> /
-rw-r--r-- 1 root root 0 2015-03-30 15:41 sched
-r--r--r-- 1 root root 0 2015-03-30 15:41 sessionid
-r--r--r-- 1 root root 0 2015-03-30 15:41 smaps
-r--r--r-- 1 root root 0 2015-03-30 15:40 stat
-r--r--r-- 1 root root 0 2015-03-30 15:41 statm
-r--r--r-- 1 root root 0 2015-03-30 15:37 status
dr-xr-xr-x 3 apache apache 0 2015-03-30 15:41 task
-r--r--r-- 1 root root 0 2015-03-30 15:41 wchan
Mislite, da mi je kdo vdrl na webmail in zdaj preko mojega strežnika veselo spama ali kaj se to dogaja?
14 odgovorov
bl4ckb1rd:
Mogoče je čas, da prepustiš administriranje ljudem ki to znajo... Najdi sistemskega administratorja in/ali migriraj stran na ponudnika, ki ti bo proti plačilu nudil podporo pri osnovnih težavah.
Čas je, da se kaj sam naučim, ker sem bolj na tesno z denarjem ;) Da se do zdaj praktično nič nisem, je pa razlog v tem, da načeloma vedno vse deluje, mogoče enkrat na pol leta kaj "zašteka". Saj vem, da je to bolj slaba tolažba (varnost...) ampak si enostavno ne vzamem časa, da bi malo preučil zadeve. Bom v kratkem kaj zamigal v tej smeri. Drugače je pa admin že porihtal zadevo. Problematičen je bil samo en IP. Pa baje nisem imel niti Firewall-a vklopljenega (pred časom vem da je 100% bil), joj joj :P bi rekel, da so mi kar vdrli na VPS tako da bo potrebno porihtati še kaj zadev.
OvcaX:
Server status je del apacha (apache modul)Dej mi na ZS dostop ti pogledam jaz, če ne boš rešil prej.
Hvala za pripravljenost pomagati vendar je admin že blokiral problematični IP in se je stanje normaliziralo.
In kaj je bil razlog za toliko procesov? Brute force attack na kakšen login obrazec? Mogoče bo rešitev tvojega problema še komu koristila.
Težava je bila v brute force attach na webmail (ki ga sploh ne uporabljam) na eni domeni. Nisem niti vedel, da lahko dostopaš do emaila preko domena.com/webmail :P tako da na to pa res nisem bil pozoren. Login obrazec nima pa nikakršne zaščite. Sem že imel pred časom podobne napade na moje strani ampak te sem hitro sam ugotovil in na strani dodal reCapatcha in je bil problem rešen. Na tale webmail pa res nisem bil pozoren, niti na to domeno, ker je stran bolj kot ne mrtva in zanjo niti nisem šel preverjati loge.